Главная » WordPress » Статьи Wordpress » WordPress шаблоны: уязвимости, безопасность и скрытые ссылки. Методы избавления. Часть 2.
Распечатать статью

WordPress шаблоны: уязвимости, безопасность и скрытые ссылки. Методы избавления. Часть 2.

В этой статье мы рассмотрим второй способ встраивания скрытых ссылок в WordPress-шаблоны, — закодированные/шифрованные ссылки.

Обычно это «добро» располагается в файле footer.php вашей темы и выглядит примерно так:

<?php 
    $_F=__FILE__;
    $_X='Pz48ZDR2IGNw+... И ещё куча символов';
    eval(base64_decode('JF9YPWJhc2U2NF... И ещё куча символов'));
?>


Причём не как здесь, а всё в 1 строчку.

Лечится очень просто. Помечаем «неизвестный» код простым комментарием в начале и в конце, например вот так:

<!-- кодировка -->
<?php 
    $_F=__FILE__;
    $_X='Pz48ZDR2IGNw+... И ещё куча символов';
    eval(base64_decode('JF9YPWJhc2U2NF... И ещё куча символов'));
?>
<!-- /кодировка -->

Далее в окне браузера кликаём ПКМ/вызываем меню «Исходный код страницы». Смотрим где у нас начинается наш комментарий и где заканчивается. Это и есть наш зашифрованный участок кода, копируем его. Заменяем каракули в footer.php (место, где была шифровка) на скопированный код из окна браузера. Сохраняем изменения в UTF-8 без BOM.

А теперь о «подводных камешках». Не удаётся вызвать открыть «Исходный код страницы»? Нет доступа? Без паники, это всего лишь JS, отключаем его любыми известными способами. Код блокировки контекстного меню браузера на JavaScript (пример):

<script type="text/javascript">
var message="";
function clickIE() {
  if (document.all) {
     (message);return false;
  }
}

function clickNS(e) {
  if (document.layers||(document.getElementById&&!document.all)) {
    if (e.which==2||e.which==3) {(message);return false;}
  }
}

if (document.layers) {
  document.captureEvents(Event.MOUSEDOWN);
  document.onmousedown=clickNS;
}
else {
  document.onmouseup=clickNS;document.oncontextmenu=clickIE;
}

document.oncontextmenu=new Function("return false")
</script>

Как? Отключили JS, а вместо этого редирект в админку? Это тэг <noscript>. Просто вовремя остановите перенаправление, нажав клавишу Esc. Код переправления:

<noscript>
<meta content="0;URL=<?php bloginfo('url'); ?>/wp-admin/" 
http-equiv="refresh" />
</noscript>

Как видите, избавиться от «излишков» не так уж сложно, как бы не старались «по ту сторону баррикад».

Источник:  sooource.net

Вы можете оставить комментарий, или обратную ссылку на Ваш сайт.

Оставить комментарий

Похожие статьи